Une douzaine de défauts de boulanger dans un petit paquet
L’Akuvox E11 ressemble à une caméra de porte intéressante car elle a la capacité d’ouvrir des portes, de capturer de la vidéo et de l’audio en direct, de prendre une photo de toute personne qui passe à côté et crée un journal des entrées et des sorties en temps réel. Toute cette puissance dans un petit appareil IoT serait pratique, en supposant qu’il soit également bien sécurisé pour empêcher toute utilisation non autorisée. Malheureusement, c’est un cauchemar de sécurité et les 13 défauts révélés dans cet article sont suffisamment graves, vous devriez probablement aller le débrancher avant de continuer à lire.
Plusieurs fonctionnalités ne nécessitent pas une authentification appropriée et il existe également des clés codées en dur qui sont chiffrées à l’aide de clés accessibles. Les images fixes qu’il capture sont téléchargées sur un FTP non crypté dans un répertoire que tout le monde peut consulter et télécharger. Il a également été découvert qu’il existait des moyens de s’authentifier lors de l’accès via une interface Web, à partir de laquelle vous pouviez contrôler la plupart des fonctionnalités. Comme si cela ne suffisait pas, l’application téléphonique qui parle à l’Akuvox E11 peut être exploitée de la même manière.
Akuvox, la société qui a fait de ce cauchemar de sécurité n’a pas répondu aux multiples tentatives de Claroty et les organisations CERT pour les joindre, donc si vous avez un Akuvox E11 ou connaissez quelqu’un qui en a un, éteignez-le et ne le rallumez plus !
